Please enable JavaScript.
Coggle requires JavaScript to display documents.
Normatividad que habilita el ejercicio de la profesión de auditor…
Normatividad que habilita el ejercicio de la profesión de auditor informático
COBIT
El COBIT es un modelo utilizado para auditar los sistemas de información de toda la organización, incluyendo los computadores personales y las redes
El COBIT evalúa la capacidad que tiene los sistemas, desde los diferentes sectores de la empresa, de generar información pertinente y confiable
Es un marco mundialmente aceptado para la gestión de TI
En el COBIT, establece un modelo que evalúa principalmente:
Los criterios de información, como por ejemplo la seguridad y la calidad.
• Los recursos que comprenden la tecnología de la información, como por ejemplo el recurso humano y las instalaciones,
• Los procesos involucrados en la organización.
¿Para qué sirve?
Optimizar el costo de los servicios de TI y la tecnología, a través de la integración de un sistema operativo mejorado de TI
Proporciona una visión clara de los roles y responsabilidades internas dando así a una organización una ventaja competitiva.
Características
Orientado al negocio
• Alineado con estándares y regulaciones "de facto"
• Basado en una revisión crítica y analítica de las tareas y actividades en TI
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA
• Se aplica a los sistemas de información de toda la empresa
Principios del COBIT
Satisfacer las necesidades de las partes interesadas
Cubrir la compañía de forma integral
Aplicar un solo marco integrado
Habilitar un enfoque holístico
Separar el gobierno de la administración
ITIL
ITIL es un conjunto de las mejores prácticas para la gestión de servicios de TI que ha evolucionado desde 1987
Disciplinas
Gestión de incidencias
Gestión de problemas
Gestión de cambios
Gestión de versiones
Gestión de configuración
ITIL versión 2.0
Alinea los objetivos de los servicios de la infraestructura de TI a los objetivos del negocio
ITIL versión 3.0
Fortalece la visión del negocio y está orientada al ciclo de vida del servicio asegurando calidad en los servicios
Proporciona modelos de
transición de acuerdo a la utilidad
Describe la provisión de servicios y la
búsqueda de los mismos
Facilita la implementación y administración de
Mejora la medición y demostración del valor
Integra más estrechamente las estrategias de servicio comerciales y las de TI
COSO
Hace recomendaciones a
los administradores de TI sobre cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo la efectividad y eficiencia de las operaciones
Ejes principales:
Ambiente de Control
Evaluación de riesgos
Actividades de Control
Información y Comunicación
Supervisión y seguimiento
Ventajas
Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.
Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.
ISO Serie 27000
Las normas ISO/IEC 27000 constituyen una familia que se publicó ante la necesidad de contar con una base para la gestión de la seguridad de la información.
Está formada por varias normas
Normas base: ISO 27001 e ISO 27002
Normas complementarias son principalmente: ISO 27003, ISO 27004, e ISO 27005
SAC
Ofrece una guía de estándares y controles a auditores internos sobre la forma de controlar y auditar los sistemas de información y tecnología
Define a un sistema de control interno como, un conjunto de procesos, funciones, actividades, subsiste-mas y gente que son agrupados o concientemente segregados para asegurar el logro efectivo de los objetivos y metas.
Esquemas
Preventivos, detectivos y correctivos.
Discrecionales y no discrecionales.
Voluntarios y Obligatorios.
Manuales y automatizados
Controles de aplicaciones y generales